le0le

HTB靶机：Soccer靶机信息： 信息收集：端口扫描：rustscan -a 10.10.11.194 -- -sC -sV -Pn -oN nmap PORT STATE SERVICE REASON VERSION22/tcp open ssh syn-ack OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 3072 ad:0d:84:a3:fd:cc:98:a4:78:fe:f9:49:15:da:e1:6d (RSA)| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQChXu/2AxokRA9pcTIQx6HKyiO0odku5KmUpklDRNG+9sa6olMd4dSBq1d0rGtsO2rNJRLQUczml6+N5DcCasAZUShDrMnitsRvG54x8GrJyW4nIx4HOfXRTsNqImBadIJtvIww1L7H1DPzMZYJZj/oOwQHXvp85 ...

HTB靶机：OpenSource靶机信息 一：信息收集🤨🤨🤨🤨还是咱们第一步，使用nmap对靶机进行信息收集 nmap -sC -sV 10.10.11.146 -o nmap 当我们使用以下命令时会发现一个被过滤的3000端口 nmap -A -sS -Pn 10.10.11.164 查看网站，发现网站提供代码下载和文件上传两个有用的功能点 我们将代码下载下来和对上传页面进行测试，发现该网站可能在一个docker容器，上传可以上传任意，但是不支持直接上传文件getshell，只是提供上传和下载刚刚上传的文件（ps：这个功能为后面docker逃逸方便不少，至少不用在本地开http服务了😛😛😛） 二：获得立足点😎😎😎😎我们对下载的代码进行审计： 发现本地测试后发现漏洞点，这个漏洞利用姿势很需要思路，views.py存在一个上传功能，会调用get_file_name进行过滤把文件名中的 ../ 替换为空，然后通过os.path.join拼接过滤后的文件名，获得最终保存路径，这里可以尝试使用绝对路径覆盖文件，例如views.py,在其中添加用于命令执行的 ...

HTB靶机：Previse 一个比较简单的靶机，整个过程很常规。整体思路很清晰的那种靶机。 获取用户权限扫描端口rustscan -a 10.,10.11.104 发现开放22，80端口我们访问该网站，发现是个登录框，在进行注入测试后发现行不通。 爆破目录gobuster dir -u http://10.10.11.104 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php 对扫描到的网站进行访问，发现出现302的会跳转到index.php页面，其中一个nav.php引起注意。 访问其中的accounts.php页面时出现302，我们使用burp进行抓包修改。 将抓到的包状态码由302改为200，然后放包。即可阻止跳转。 注册成功后，就能在登录页面进行登录，登录进去查看页面，发现一个压缩包。在flies标签下可以上传文件，但不能利用。 下载下来，解压缩后发现一些重要的配置文件：logs.php、config.php 通过两个文件我们可以知道该靶机的数据库账号和密码：root**& ...

HTB靶机：Pandora 信息收集#使用 nmap对靶机进行端口扫描并保存到nmap文件中nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.136 -oN ./nmap.txt 发现目标开启22，80端口 在对网站功能测试后，发现没有什么利用的，可能就是一个静态页面，因此使用工具对网站目录进行枚举。发现存在一个assets的目录。测试也没有可利用的。 重新使用nmap对靶机进行udp探测 nmap -sC -sV -sU -top-ports=20 pandora.htb -oN >./udp 发现靶机开启snmp服务，我们尝试监听改服务 sudo snmpwalk -v 2c pandora.htb -c public > snmp 过滤查询获得用户名和密码： danielHotelBabylon23 尝试进行ssh登录 登录成功！现如今获取到一个用户shell，但是该用户没有任何文件，我们切换到home文件夹下，我们发现存在一个matt用户。且我们没法进入matt，接下来我们目标很明确，我们就是尝试 ...

HTB靶机：Mentor靶机信息： 信息收集：端口扫描:rustscan -a 10.10.11.193 -- -sC -sV -Pn -oN nmap PORT STATE SERVICE REASON VERSION22/tcp open ssh syn-ack OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 256 c7:3b:fc:3c:f9:ce:ee:8b:48:18:d5:d1:af:8e:c2:bb (ECDSA)| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBO6yWCATcj2UeU/SgSa+wK2fP5ixsrHb6pgufdO378n+BLNiDB6ljwm3U3PPdbdQqGZo1K7Tfsz+ejZj1nV80RY=| 256 44:40:08:4c:0e:cb:d4:f1:8e:7e:ed:a8:5c:68:a4:f7 (ED25519) ...

HTB靶机：Support靶机信息：这是第一台我关于域的靶机，全程跟上大佬脚步 信息收集：nmap -sC -sV -Pn 10.10.11.174 PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-08-07 05:31:07Z)135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: support.htb0., Site: Default-First-Site-Name)445/tcp open micros ...

HTB靶机：Shoppy靶机信息： 信息收集:rustscan -a 10.10.11.180 -- -sC -sV -oN namp 有22,80端口使用ip访问发现需要绑定host： echo '10.10.11.180 shoppy.htb'|sudo tee -a /etc/hosts 进行目录爆破； gobuster dir -w /usr/share/wordlists/dirb/common.txt -u http://shoppy.htb 登录存在sql注入，使用以下语句即可绕过 admin' || 'a'=='a 使用相同语句，在exports功能获取到一串json数据 _id "62db0e93d6d6a999a66ee67a"username "admin"password "23c6877d9e2b564ef8b32c3a23de27b2"_id "62db0e93d6d6a999a66ee67b"use ...

HTB靶机：Shared靶机信息：这台靶机主要是涉及到ipython,redis提权。 信息收集：端口扫描：nmap -sC -sV -Pn 10.10.11.172 PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)| ssh-hostkey:| 3072 91:e8:35:f4:69:5f:c2:e2:0e:27:46:e2:a6:b6:d8:65 (RSA)| 256 cf:fc:c4:5d:84:fb:58:0b:be:2d:ad:35:40:9d:c3:51 (ECDSA)|_ 256 a3:38:6d:75:09:64:ed:70:cf:17:49:9a:dc:12:6d:11 (ED25519)80/tcp open http nginx 1.18.0|_http-title: Did not follow redirect to http://shared.htb|_http-server-heade ...

HTB靶机：Photobomb靶机信息：这台靶机网上有大佬写出现成的exp，我这属于逆向大佬的exp,复盘做的，通过大佬的exp很快啊，啪，20分钟就让我pwn掉这台机器。 信息收集端口扫描：rustscan -a 10.10.11.182 -- -sC -sV -oN namp PORT STATE SERVICE REASON VERSION22/tcp open ssh syn-ack OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 3072 e2:24:73:bb:fb:df:5c:b5:20:b6:68:76:74:8a:b5:8d (RSA)| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCwlzrcH3g6+RJ9JSdH4fFJPibAIpAZXAl7vCJA+98jmlaLCsANWQXth3UsQ+TCEf9YydmNXO2QAIocVR8y1NUEYBlN2xG4/7txjoXr9QShFwd10HNbU ...

HTB靶机：Forgot靶机信息：这台靶机前期拿shell很有趣，考了host header 注入和 HTTP 绕过后面提权则是CVE-2022-29216这个漏洞，关于Tensorflow的 信息收集：端口扫描：nmap -sC -sV -Pn 10.129.72.41 PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:| 3072 48add5b83a9fbcbef7e8201ef6bfdeae (RSA)| 256 b7896c0b20ed49b2c1867c2992741c1f (ECDSA)|_ 256 18cd9d08a621a8b8b6f79f8d405154fb (ED25519)80/tcp open http Werkzeug/2.1.2 Python/3.8.10|_http-title: Login|_http-server-header: Wer ...